Уязвимость позволяет скомпрометировать целевую систему путем обхода функционала UAC.
Эксперты компании Google из Project Zero опубликовали подробности критической уязвимости в операционной системе Windows 8.1 от Microsoft, передает Naked Security. В настоящий момент брешь все еще не устранена.
Подробности уязвимости были обнародованы автоматически поскольку с того момента, как исследователи уведомили разработчиков о наличии бреши прошло 90 дней. Соответствующее предупреждение было отправлено Microsoft еще 30 сентября прошлого года.
Как следует из уведомления Google, брешь находится в механизме контроля учетных записей пользователей (UAC), а точнее в функции NtApphelpCacheControl. Эксплуатация уязвимости позволяет вредоносным приложениям обойти ограничения UAC. Таким образом, программы злоумышленников могут работать на инфицированной системе с административными привилегиями.
Стоит отметить, что в качестве мер предосторожности пользователи могут использовать административную учетную запись, что исключает необходимость использования системой как UAC в целом, так и его уязвимых компонентов.